Queste le parole di Alfonso Fuggetta, CEO della società Cefriel:
“Ogni volta che facciamo questi test ci accorgiamo che è determinante il fattore umano. La velocità con cui questi attacchi prendono piede dimostra che è necessario un progetto di formazione per cambiare l’approccio culturale degli utenti. Ormai ogni persona con il suo smartphone, computer o tablet è una potenziale vittima degli hacker”.
Dall’analisi fornita dalla società viene chiaramente alla luce che un hacker si serve circa di tre mail per riuscire a ricevere un clic su un link potenzialmente maligno contenuto nel testo del messaggio, e quattro per indurre almeno un utente a digitare credenziali e informazioni personali nei moduli di richiesta dei siti web malevoli.
Un ulteriore fattore per nulla irrilevante è il tempo: circa il 50% del totale degli utenti vittime di phishing cede entro i primi 20 minuti dalla ricezione della mail, mentre i processi e i sistemi di sicurezza aziendale hanno solitamente bisogno di almeno un paio d’ore, nella migliore delle ipotesi, per dare il via alla difesa digitale.
Il test condotto da Cefriel permette di mettere alla prova i dipendenti di un’azienda al fine di poterne analizzare le attività sul web e la vulnerabilità con la quale si cede a tali minacce attraverso lo stratagemma dell’invio di email che incitano a cliccare sul link ad un sito e a compilare un form in cui si richiedono le proprie credenziali aziendali. Le “esche” adoperate nel testo della mail risultano abbastanza vaghe, fanno generalmente riferimento alla realtà aziendale grazie all’utilizzo di loghi, colori o descrizioni di attività realmente svoltesi nel contesto aziendale, grazie all’uso di informazioni facilmente reperibili online. Le aziende partecipanti al test fanno parte di ambiti differenti tra i quali bancario assicurativo, energetico, amministrazioni pubbliche e aziende di prodotti e servizi.
Esaminando i dati in base al settore, stranamente proprio quello bancario/assicurativo è risultato il più “debole”. Dalle analisi effettuate su diverse aziende del settore salta all’occhio che in media il 41% dei dipendenti clicca sul link malevolo, mentre il 27% fornisce le proprie credenziali. Presenta percentuali meno vertiginose, ma comunque allarmanti la pubblica amministrazione: circa il 33% clicca sul link, il 16% digita anche le credenziali.